La pandémie mondiale de la Covid-19 a bouleversé nos habitudes de vie ainsi qu’au niveau professionnel. Les entreprises ont en effet dû s’adapter et peuvent être amenées à collecter et gérer des données personnelles de leurs salariés notamment en matière de santé. La CNIL a alors, comme le rappelle l’avocat Georges Gaede, publié des règles générales ainsi que des bonnes pratiques. Le point dans cet article.

Les obligations des employeurs et des salariés

La CNIL rappelle dans le cadre de ce contexte de crise sanitaire que des obligations pèsent aussi bien sur les employeurs que sur les salariés. Il convient de rappeler que les employeurs ont « conformément au RGPD, le droit de traiter des données personnelles lorsqu’elles sont strictement nécessaires au respect de [leurs] obligations légales ».

Si les salariés sont tenus d’informer leur hiérarchie en cas de suspicion ou de contamination afin que ce dernier prenne les mesures nécessaires, les employeurs ont également des responsabilités. Parmi ces obligations, nous pouvons entre autres citer :

  • contraindre les salariés en contact avec d’autres collaborateurs à faire part de manière individuelle d’informations « en cas de contamination ou suspicion de contamination » dans son environnement ou encore auprès des autorités sanitaires compétentes « aux seules fins de lui permettre d’adapter les conditions de travail » ;
  • mettre en œuvre des « canaux dédiés et sécurisés » afin de faciliter la transmission de ces informations ;
  • privilégier les modes de travail à distance et encourager le recours à la médecine du travail.

Il est à noter que les collaborateurs en télétravail ne sont pas tenus de transmettre les informations concernant une contagion, ou une suspicion. Toutefois, il faut rappeler que, selon le Code du travail, « chaque employé/agent doit veiller à préserver sa propre santé/sécurité mais également celles des personnes avec qui il pourrait être en contact à l’occasion de son activité professionnelle ».

Les bonnes pratiques de l’employeur en matière de collecte de données

L’employeur peut ainsi être amené à collecter et à gérer certaines informations personnelles de ses collaborateurs. C’est pourquoi la CNIL veille à rappeler que « les employeurs ne sauraient ainsi traiter que les données strictement nécessaires à la satisfaction de leurs obligations légales et conventionnelles ». Ces données doivent leur permettre de prendre les décisions et les mesures nécessaires en matière d’organisation, d’information, de prévention ou encore de formation.

L’employeur peut ainsi collecter l’identité de la personne, si elle est contaminée ou suspectée de l’être, les éléments inhérents à la date… Toutefois, s’il peut communiquer le nom de la personne aux autorités compétentes, il ne peut en aucun cas la divulguer aux autres collaborateurs.

De même, l’employeur ne peut installer des outils de captation automatique de température ou encore réaliser un fichier enregistrant la température de leurs collaborateurs. Par ailleurs, « les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées ». Les tests de dépistage ou sérologiques doivent être réalisés par des professionnels de santé uniquement.

En résumé, l’employeur n’est autorisé à collecter que les informations nécessaires au maintien de son activité en période de crise sanitaire.